تسجيل الدخول عن طريق الرسائل النصية القصيرة أمر محفوف بالمخاطر، ما هو البديل؟

وبحسب ياهو، لا تزال رموز المصادقة لمرة واحدة (OTP) المرسلة عبر الرسائل النصية القصيرة مستخدمة على نطاق واسع كطبقة ثانية من الحماية في عملية المصادقة الثنائية، مما يساعد المستخدمين على تسجيل الدخول إلى التطبيقات المصرفية أو البريد الإلكتروني أو الشبكات الاجتماعية.

ومع ذلك، تحذر شركة ياهو من أن الرسائل النصية القصيرة هي واحدة من أضعف وسائل الأمان لأنها معرضة بشكل كبير لهجمات التصيد الاحتيالي.

كشف تحقيق حديث أجرته بلومبرغ بيزنس ويك ولايتهاوس ريبورتس عن خطر أكبر: إمكانية وصول جهات خارجية إلى كلمات المرور المؤقتة (OTP). وتحديدًا، تمكنت شركة الاتصالات السويسرية المغمورة "فينك تيليكوم سيرفيسز" من الوصول إلى أكثر من مليون رسالة تحتوي على رموز مصادقة ثنائية العوامل في يونيو 2023.

بصفتها وسيطًا بين الشركات التي تُنشئ رموز المصادقة والمستخدمين النهائيين، يحق لشركة فينك لخدمات الاتصالات معالجة محتوى الرسائل والاطلاع عليه. لكن ما يُثير القلق هو الاشتباه في تورط هذه الشركة في مراقبة المستخدمين والتدخل في حساباتهم الشخصية.

Vì sao xác thực hai yếu tố qua SMS không còn an toàn? - Ảnh 1. — تعتبر الرسائل النصية القصيرة من أضعف وسائل الأمان نظرًا لإمكانية الوصول إليها من قبل أطراف ثالثة.

جاءت كلمات المرور المُسربة من شركات كبرى مثل جوجل، وميتا، وأمازون، وتيندر، وسناب شات، وبينانس، وسيجنال، وواتساب، وعدد من البنوك الأوروبية. وأُرسلت الرسائل إلى مستخدمين في أكثر من 100 دولة.

وفقًا لشركة ياهو، فإن السبب الرئيسي لعدم أمان المصادقة الثنائية للرسائل النصية القصيرة هو أن الشركات غالبًا ما تستعين بمصادر خارجية لإرسال الرسائل النصية بتكلفة أقل، من خلال عقود ضخمة مع شركات اتصالات متعددة ونظام "عناوين عالمية" - عناوين شبكات تُستخدم للربط بين البلدان. يكمن ضعف هذا النظام في أن الشركات التي تستعين بها لا تعمل مباشرةً مع جهات مثل شركة فينك لخدمات الاتصالات، بل من خلال مقاولين من الباطن، مما يزيد من تعقيد ضمان أمن البيانات.

وأوضح السيد فام مان كوونج، مؤسس شركة ويشين المحدودة، أن طريقة المصادقة الثنائية عبر الرسائل النصية القصيرة لم تعد آمنة اليوم لأن المهاجمين الإلكترونيين أصبحوا أكثر تطوراً، ويستغلون بسهولة نقاط الضعف في نظام الأمان للوصول إلى البيانات.

أحد أكثر أشكال هجمات التصيد الاحتيالي شيوعًا هو استخدام رسالة أو بريد إلكتروني أو موقع ويب يبدو حسن السمعة لخداع المستخدمين لتقديم معلومات حساسة مثل أسماء المستخدمين أو كلمات المرور أو رموز OTP.

ليس هذا فحسب، بل يُعدّ تبديل بطاقات SIM تهديدًا خطيرًا أيضًا. إذ يستطيع المحتالون سرقة رقم هاتف الضحية، الذي يتلقّون منه رموز المصادقة المُرسَلة عبر الرسائل النصية القصيرة.

بالإضافة إلى ذلك، لا يزال العديد من المستخدمين لديهم عادة تثبيت برامج من مصدر غير معروف، وخاصة على أجهزة Android، مما يؤدي إلى برامج التجسس أو مسجلي مفاتيح المفاتيح التي يمكنها تسجيل كتابة لوحة المفاتيح سراً، وبالتالي سرقة معلومات الوصول.

في حين أن مصادقة الرسائل النصية القصيرة لا تزال تعتبر طبقة معينة من الحماية، مقارنة بالطرق الحديثة مثل Google Authenticator - وهو تطبيق يولد رموز مصادقة عشوائية تتغير كل 30 ثانية وهو مستقل عن شبكات الهاتف المحمول - فإن الرسائل النصية القصيرة تُظهر نقاط ضعفها بشكل متزايد.

المصدر: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm